Trojany - spyware na systemie

Ardrian · 4 Kwiecień 2008 16:13

Witam!

Bardzo proszę o pomoc. Naściągałem sporo wirusów. Nie moge otworzyć menadżera zadań, edytować grafiki. Mój pulpit to niebieskie tło z napisami (tłumaczać na Polski),że system jest zainfekowany Spyware’ami. Poza tym onok zegarka co jakiś czas wyskakuje okienko, że komputer jest zarażony i żebym kliknął i ściągnął oprogramowanie (co jak już wiem będzie kolejnym wirusem) Poniżej log i hijacka:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:58:16, on 2008-04-04

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\NewMixer.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\WINDOWS\system32\cftmon.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [C-Media Mixer] C:\WINDOWS\NewMixer.exe /startup

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [PVR Agent] E:\Program Files\KWorld Multimedia\PVR Plus\TVR\Scheduled.exe

O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe

O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Ardi\Local Settings\Application Data\cftmon.exe

O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe

O4 - HKLM\..\Run: [BluetoothAuthorizationAgent] C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\cftmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Ardi\Local Settings\Application Data\cftmon.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Program Files\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{7D6D2F6B-8D74-465A-81C1-4725EF57DC35}: NameServer = 213.25.43.3,194.204.159.1

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ImapiService - Unknown owner - C:\WINDOWS\system32\imapi.exe (file missing)

O23 - Service: mnmsrvc - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe (file missing)

O23 - Service: Distributed Transaction Coordinator (MSDTC) - Unknown owner - C:\WINDOWS\system32\msdtc.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe


--

End of file - 5987 bytes

Leon1 · 4 Kwiecień 2008 21:58

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

wpisy

usuń HijackThisem >> Fix checked

Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 ale nie włączaj

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Ardrian · 5 Kwiecień 2008 17:25

Dziękuję za pomoc. Komputer działa ja należy. Menadzer już się uruchamia, moge edytować grafikę. Poniżej załączam na wszelki wypadek log z Combo Fix.

ComboFix 08-04-04.1 - Ardi 2008-04-05 9:23:53.1 - NTFSx86

Leon1 · 5 Kwiecień 2008 18:52

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml lub format

Otwórz notatnik i wklej

File:: C:\WINDOWS\system32\fedcfqtsfqhkb.bmp C:\WINDOWS\system32\idsnmhgjahkf.bmp C:\WINDOWS\system32\torqhonqlkn.bmp C:\WINDOWS\system32\nelcbmlgfqd.bmp C:\WINDOWS\system32\fahsjat.bmp C:\WINDOWS\system32\tsnepgfqtsnat.bmp C:\WINDOWS\system32\bqtsf.bmp C:\WINDOWS\system32\lgbipsfelgrap.bmp C:\WINDOWS\system32\sjilsbmtgr.bmp C:\WINDOWS\system32\sredsr.bmp C:\WINDOWS\system32\radgjilcril.bmp C:\WINDOWS\system32\grmtor.bmp C:\WINDOWS\system32\sjmhobihcbih.bmp C:\WINDOWS\system32\sfapgrqlkbitcf.bmp C:\WINDOWS\system32\sbedkredcfmpcf.bmp C:\WINDOWS\system32\dkbalgnip.bmp C:\WINDOWS\system32\gnqlgfmdgrip.bmp C:\WINDOWS\system32\sbehgbmhorqdsr.bmp C:\WINDOWS\system32\sfetobapsrilkr.bmp C:\WINDOWS\system32\sfilkfit.bmp C:\WINDOWS\rkTfSxi2La.exe C:\WINDOWS\khmtybgj.dll C:\WINDOWS\system32\sbwltbxa.exe C:\WINDOWS\irujsjof.exe C:\Documents and Settings\All Users\Dane aplikacji\zgxezwjs.dll C:\WINDOWS\rcrmdazg.exe C:\WINDOWS\system32\gjidkfetcnipcn.bmp C:\WINDOWS\system32\kralkfil.bmp C:\WINDOWS\system32\dojedojad.bmp C:\WINDOWS\system32\cfehgfitsrilgb.bmp C:\37.tmp C:\38.tmp C:\3A.tmp C:\33.tmp C:\34.tmp C:\36.tmp C:\2F.tmp C:\30.tmp C:\2C.tmp C:\32.tmp C:\2E.tmp C:\2B.tmp C:\27.tmp C:\28.tmp C:\2A.tmp C:\WINDOWS\system32\hsbatonepor.bmp C:\WINDOWS\system32\kbalkbqhoj.bmp C:\WINDOWS\system32\tojehknml.bmp C:\WINDOWS\system32\obmdkbehkfapsn.bmp C:\WINDOWS\system32\lsfet.bmp C:-1192103794 C:\Documents and Settings\Ardi\Dane aplikacji\Anti-Virus-Pro.com C:\15.tmp C:\19.tmp C:\WINDOWS\system32\winservcs64.dll Folder:: C:\WINDOWS\tuomvgik C:\Program Files\stc C:\Program Files\180search assistant C:\Program Files\zango C:\Program Files\Sysmnt C:\Program Files\180solutions C:\Program Files\180searchassistant C:\Program Files\Win_Performance C:\Program Files\AntiVirusPro C:\Documents and Settings\Ardi\Dane aplikacji\Anti-Virus-Pro.com C:-1192103794 Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Ardrian · 6 Kwiecień 2008 10:47

Poniżej log z Combofix. Problem jednak nie zniknął. Wciąż po każdym włączeniu systemu załącza się tapeta - niebieskie tło, na środku żółta ramka i z białym napisem tłumaczać na Polski, że komputer jest zainfekowany Spywer’ami i żebym ściągnął oprogramowie antyspyware. Nadto za każdym mimo wyłączania przeze mnie przywracania systemu włacza się ono na nowo. Może też w tym tkwi problem? Menadżer urzadzeń działa.

ComboFix 08-04-04.1 - Ardi 2008-04-06 12:04:39.4 - NTFSx86

Leon1 · 6 Kwiecień 2008 11:23

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Pobierz program SDFix

Ardrian · 6 Kwiecień 2008 15:00

Załączam logi z ComboFix i SDFix. Problem tapety nie zniknął. Wciaż pojawia się ona po każdym włączeniu mimo zmiany jej na inną.

ComboFix 08-04-04.1 - Ardi 2008-04-06 15:38:55.5 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.437 [GMT 2:00]

Running from: C:\Documents and Settings\Ardi\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Ardi\Pulpit\CFScript.txt


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]


FILE ::

C:\WINDOWS\system32\bqdcfmdorml.bmp

C:\WINDOWS\system32\cisvc.exe.tmp

C:\WINDOWS\system32\fmpob.bmp

C:\WINDOWS\system32\kfidcr.bmp

C:\WINDOWS\system32\knmtonmh.bmp

C:\WINDOWS\system32\lonqd.bmp

C:\WINDOWS\system32\onmhkratcjelob.bmp

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\WINDOWS\system32\cisvc.exe.tmp


.

((((((((((((((((((((((((( Files Created from 2008-03-06 to 2008-04-06 )))))))))))))))))))))))))))))))

.


2008-04-06 12:26 . 2008-04-06 12:26	1,147	--a------	C:\WINDOWS\bestplayer.ini

2008-04-06 12:26 . 2008-04-06 12:26	82	--a------	C:\WINDOWS\bestplayer.bbt

2008-04-06 12:26 . 2008-04-06 12:26	44	--a------	C:\WINDOWS\bestplayer.bpp

2008-04-06 12:19 . 2008-04-06 12:19	269,334	--a------	C:\WINDOWS\system32\bedgbad.bmp

2008-04-02 11:12 . 2008-03-29 19:31	75,856	--a------	C:\WINDOWS\system32\drivers\aswSP.sys

2008-04-02 11:12 . 2008-03-29 19:35	20,560	--a------	C:\WINDOWS\system32\drivers\aswFsBlk.sys

2008-03-17 17:52 . 2008-03-17 17:52	18,432	--a------	C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe

2008-03-16 21:11 . 2008-03-16 21:11

[code]SDFix: Version 1.167 Run by Ardi on 2008-04-06 at 15:51 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Restoring Default Desktop Wallpaper Rebooting Checking Files : Trojan Files Found: C:\WINDOWS\SYSTEM32\BEDGBAD.BMP - Deleted C:\16.TMP - Deleted Removing Temp Files ADS Check : Final Check : [code]catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-06 15:57:22 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40] “khjeh”=hex:20,02,00,00,83,e2,f8,27,e7,d8,62,dc,8e,b7,7c,db,19,be,1b,80,48,… [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] “s1”=dword:2df9c43f “s2”=dword:110480d0 “h0”=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] “p0”=“C:\Program Files\Alcohol Soft\Alcohol 120” “h0”=dword:00000000 “ujdew”=hex:89,22,c2,e2,02,7f,00,7a,c4,99,de,44,b1,26,f4,a9,05,e1,7b,2a,ec,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] “p0”=“C:\Program Files\Alcohol Soft\Alcohol 120” “h0”=dword:00000000 “ujdew”=hex:89,22,c2,e2,02,7f,00,7a,c4,99,de,44,b1,26,f4,a9,05,e1,7b,2a,ec,… scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,3e,02,00,00,01,00,00,00,05,00,00,00,8c,… [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Twain] “y\1r?\xf3?d?B\1o? ?d?o?m?y?[\1l?n?e?”=“C:\WINDOWS\Twain_32\FB63U\CISDS.ds” scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “D:\Gry\Star Wars\EaW\GameData\sweaw.exe”=“D:\Gry\Star Wars\EaW\GameData\sweaw.exe:*:Enabled:Star Wars: Empire at War” “D:\Gry\Star Wars\Foc\swfoc.exe”=“D:\Gry\Star Wars\Foc\swfoc.exe:*:Enabled:Star Wars™: Empire at War™: Siy korupcji™” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Wed 27 Feb 2008 87,552 A…H. — “C:\14.tmp” Fri 19 Jan 2007 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak” Fri 19 Jan 2007 4,348 …H. — “C:\Documents and Settings\Ardi\Moje dokumenty\Moja muzyka\Kopia zapasowa licencji\drmv1key.bak” Wed 14 Nov 2007 20 A…H. — “C:\Documents and Settings\Ardi\Moje dokumenty\Moja muzyka\Kopia zapasowa licencji\drmv1lic.bak” Thu 22 Mar 2007 400 …H. — “C:\Documents and Settings\Ardi\Moje dokumenty\Moja muzyka\Kopia zapasowa licencji\drmv2key.bak” Wed 14 Nov 2007 29,696 A…H. — “C:\Documents and Settings\Ardi\Moje dokumenty\Moja muzyka\Kopia zapasowa licencji\drmv2lic.bak” Finished!
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-04-06 15:57:22 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40] “khjeh”=hex:20,02,00,00,83,e2,f8,27,e7,d8,62,dc,8e,b7,7c,db,19,be,1b,80,48,… [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] “s1”=dword:2df9c43f “s2”=dword:110480d0 “h0”=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] “p0”=“C:\Program Files\Alcohol Soft\Alcohol 120” “h0”=dword:00000000 “ujdew”=hex:89,22,c2,e2,02,7f,00,7a,c4,99,de,44,b1,26,f4,a9,05,e1,7b,2a,ec,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] “p0”=“C:\Program Files\Alcohol Soft\Alcohol 120” “h0”=dword:00000000 “ujdew”=hex:89,22,c2,e2,02,7f,00,7a,c4,99,de,44,b1,26,f4,a9,05,e1,7b,2a,ec,… scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,3e,02,00,00,01,00,00,00,05,00,00,00,8c,… [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Twain] “y\1r?\xf3?d?B\1o? ?d?o?m?y?[\1l?n?e?”=“C:\WINDOWS\Twain_32\FB63U\CISDS.ds” scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0

Leon1 · 6 Kwiecień 2008 15:52

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

Log wygląda na czysty

przeskanuj tym http://www.kaspersky.pl/virusscanner.html

jeśli coś znajdzie pokaż raport

jeśli czysty usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku SDFixa również usuń.

włącz przywracanie systemu

Ardrian · 6 Kwiecień 2008 19:10

Poniżej zamieszczam raport z Kaspersky’ego. Niestety znalazł jakieś wirusy - 2 trojany, a łącznie 4 zainfekowane pliki.

KASPERSKY ONLINE SCANNER REPORT

6 kwiecień 2008 20:35:21System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)Kaspersky Online Scanner wersja: 5.0.98.0Ostatnia aktualizacja Kaspersky Anti-Virus 6/04/2008Liczba wpisów w bazie danych Kaspersky Anti-Virus686761

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Obszary krytyczne

C:\WINDOWSC:\DOCUME~1\Ardi\USTAWI~1\Temp\

Statystyki skanowania

Liczba skanowanych obiektów 12463

Liczba wykrytych wirusów 2

Liczba zainfekowanych obiektów 4

Liczba podejrzanych obiektów 0

Czas trwania skanowania 00:09:22

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe Zainfekowanych: Trojan-Downloader.Win32.Agent.lwo pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe Zainfekowanych: not-virus:Hoax.Win32.Renos.bgf pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\msdtc.exe Zainfekowanych: Trojan-Downloader.Win32.Agent.lwo pominięty

C:\WINDOWS\system32\netdde.exe Zainfekowanych: Trojan-Downloader.Win32.Agent.lwo pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_624.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

Proces skanowania został zakończony.

Leon1 · 6 Kwiecień 2008 19:30

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

maniek1326 · 3 Czerwiec 2008 12:05

Leon$, jesteś wielki :-D. Miałem ten sam problem i już sobie poradziłem, dzięki Tobie. Szacun.